Le pire trou de sécurité que vous ayez vu? [fermé]

Quel est le pire trou de sécurité que vous ayez jamais vu? C'est probablement une bonne idée de limiter les détails pour protéger les coupables.

Pour ce que ça vaut, voici une question sur ce qu'il faut faire si vous trouvez un trou de sécurité, et un autre avec des réponses utiles si une entreprise ne (semble pas) répondre.

Depuis les débuts des boutiques en ligne:

Bénéficiez d'une remise de 90% en saisissant 0,1 dans le champ Quantité du panier. Le logiciel a correctement calculé le coût total comme .1 * coût, et l'homme emballant la commande a simplement glissé sur les "." devant la quantité à emballer :)

Le trou de sécurité le moins pardonnable, et malheureusement très courant et facile à trouver, est le piratage de Google . Exemple concret:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

C'est incroyable le nombre de pages sur Internet, les sites gouvernementaux en particulier, qui passent une requête SQL à travers la chaîne de requête. C'est la pire forme d'injection SQL, et il ne faut aucun effort pour trouver des sites vulnérables.

Avec des ajustements mineurs, j'ai pu trouver des installations non protégées de phpMyAdmin, des installations non protégées de MySQL, des chaînes de requête contenant des noms d'utilisateur et des mots de passe, etc.

Ingénierie sociale:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

De bash.org

Histoire vraie de mes débuts chez Microsoft.

Vous n'avez pas connu la peur jusqu'au jour où vous vous réveillez et voyez le titre sur ZDNet.com ce matin-là " pire trou de sécurité d'Internet Explorer a jamais été découvert dans" Blah " " où "Blah" est le code que vous vous avez écrit six mois auparavant .

Immédiatement après mon arrivée au travail, j'ai vérifié les journaux des modifications et découvert que quelqu'un dans une autre équipe - quelqu'un en qui nous avions confiance pour apporter des modifications au produit - avait extrait mon code, changé un tas de paramètres de clé de registre de sécurité sans raison valable, Je l'ai réintégré, et je n'ai jamais eu d'examen du code ni en parler à personne. À ce jour, je n'ai aucune idée de ce qu'il pensait qu'il faisait; il a quitté l'entreprise peu après. (De son propre gré.)

(MISE À JOUR: Quelques réponses aux questions soulevées dans les commentaires:

Tout d'abord, notez que je choisis de prendre la position caritative que les changements de clé de sécurité étaient involontaires et basés sur la négligence ou la méconnaissance, plutôt que sur la malveillance. Je n'ai aucune preuve dans un sens ou dans l'autre, et je pense qu'il est sage d'attribuer des erreurs à la faillibilité humaine.

Deuxièmement, nos systèmes d'enregistrement sont beaucoup, beaucoup plus solides maintenant qu'ils ne l'étaient il y a douze ans. Par exemple, il n'est désormais plus possible d'enregistrer le code sans que le système d'enregistrement envoie la liste des modifications par e-mail aux parties intéressées. En particulier, les changements apportés à la fin du cycle d'expédition ont beaucoup de «processus» autour d'eux, ce qui garantit que les bons changements sont apportés pour assurer la stabilité et la sécurité du produit.)

Quoi qu'il en soit, le bogue était qu'un objet qui n'était PAS sûr d'être utilisé à partir d'Internet Explorer avait été accidentellement publié comme étant marqué comme "sûr pour les scripts". L'objet était capable d'écrire des fichiers binaires - des bibliothèques de type OLE Automation, en fait - dans des emplacements de disque arbitraires. Cela signifiait qu'un attaquant pouvait créer une bibliothèque de types qui contenait certaines chaînes de code hostile, l'enregistrer dans un chemin qui était un emplacement exécutable connu, lui donner l'extension de quelque chose qui provoquerait l'exécution d'un script et espérer que l'utilisateur exécuterait accidentellement le code. Je ne connais aucune attaque réussie "du monde réel" qui a utilisé cette vulnérabilité, mais il a été possible de créer un exploit fonctionnel avec elle.

Nous avons expédié un patch assez rapidement pour celui-là, laissez-moi vous dire.

J'ai causé et corrigé par la suite de nombreuses autres failles de sécurité dans JScript, mais aucune d'entre elles n'a jamais été aussi proche de la publicité que celle-ci.

J'espère que vous pouvez repérer ce qui ne va pas ici. (Terriblement mal, en fait):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

Le dernier récipiendaire était le plus heureux;)

Les anciens terminaux dumb IBM System 36 avaient une combinaison de clavier qui a commencé l'enregistrement d'une macro. Ainsi, lorsqu'un terminal n'est pas connecté, vous pouvez démarrer l'enregistrement d'une macro et la laisser dans cette position. La prochaine fois que quelqu'un se connectera, les frappes seront enregistrées dans la macro et l'enregistrement se terminera automatiquement lorsque le nombre maximum de touches autorisées sera enregistré. Revenez plus tard et relisez la macro pour vous connecter automatiquement.

Le pire trou de sécurité que j'ai jamais vu a été réellement codé par le vôtre et a provoqué la suppression de toute la base de données par Google Bot.

À l'époque où j'apprenais l'ASP Classic, j'ai codé ma propre application de blog de base. Le répertoire avec tous les scripts d'administration a été protégé par NTLM sur IIS. Un jour, j'ai déménagé sur un nouveau serveur et j'ai oublié de re-protéger le répertoire dans IIS (oups).

La page d'accueil du blog avait un lien vers l'écran d'administration principal, et l'écran d'administration principal avait un LIEN SUPPRIMER pour chaque enregistrement (sans confirmation).

Un jour, j'ai trouvé tous les enregistrements de la base de données supprimés (des centaines d'entrées personnelles). Je pensais qu'un lecteur avait fait irruption sur le site et avait supprimé par malveillance chaque enregistrement.

Je suis venu pour découvrir à partir des journaux: le Google Bot avait exploré le site, suivi le lien d'administration, et a continué à suivre tous les liens de suppression, supprimant ainsi chaque enregistrement de la base de données. Je sentais que je méritais le prix Dumbass of the Year compromis par inadvertance par le Google Bot.

Heureusement, j'ai eu des sauvegardes.

Le pire trou que j'ai jamais vu était un bug dans une application Web où donner un nom d'utilisateur et un mot de passe vides vous connectait en tant qu'administrateur :)

Une fois remarqué cela sur l'URL d'un site Web.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Changer le dernier paramètre en admin = 1 m'a donné des privilèges d'administrateur. Si vous voulez faire confiance aveuglément aux entrées des utilisateurs, au moins ne télégraphiez pas que vous le faites!

J'ai vu celui-ci dans The Daily WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Rien ne peut battre cette IMHO.

Dans une université non moins, qui restera sans nom, ils ont fait passer toutes leurs requêtes d'action via l'URL au lieu du formulaire.

La chose a fonctionné jusqu'à ce que Google Bot arrive, parcoure toutes leurs URL et efface sa base de données.

Surpris, personne n'a évoqué l'ingénierie sociale, mais j'ai eu un coup de pied hors de cet article .

Résumé: les utilisateurs malveillants peuvent acheter quelques dizaines de lecteurs flash, les charger avec un virus à exécution automatique ou un cheval de Troie, puis saupoudrer lesdits lecteurs flash dans le parking d'une entreprise tard dans la nuit. Le lendemain, tout le monde se présente au travail, bute sur le matériel brillant, en forme de bonbon, irrésistible et se dit "oh wow, lecteur flash gratuit, je me demande ce qu'il y a!" - 20 minutes plus tard, l'ensemble du réseau de l'entreprise est arrosé.

"Pedo mellon a minno" , "Parle ami et entre", aux portes de la Moria.

Microsoft Bob
(Crédit: Dan's 20th Century Abandonware )

Si vous entrez votre mot de passe une troisième fois de manière incorrecte, il vous sera demandé si vous avez oublié votre mot de passe.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Mais au lieu d'avoir la sécurité, comme continuer à demander le mot de passe correct jusqu'à ce qu'il soit entré ou vous bloquer après un certain nombre de tentatives incorrectes, vous pouvez entrer n'importe quel nouveau mot de passe et il remplacera l'original! Tout le monde peut le faire avec n'importe quel compte Microsoft Bob «protégé» par mot de passe.

Aucune authentification préalable n'est requise. Cela signifie que l'utilisateur 1 pourrait changer son propre mot de passe simplement en tapant trois fois son mot de passe puis en entrant un nouveau mot de passe la quatrième fois - sans jamais avoir à utiliser "changer le mot de passe".

Cela signifie également que User1 pourrait changer les mots de passe de User2, User3 ... exactement de la même manière. Tout utilisateur peut modifier le mot de passe de n'importe quel autre utilisateur simplement en le tapant trois fois, puis en entrant un nouveau mot de passe à l'invite - et il peut alors accéder au compte.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

J'avais l'ancienne adresse personnelle de Joe X et j'avais besoin de connaître sa nouvelle adresse actuelle dans la même ville, mais je n'avais aucun moyen de le contacter. Je pensais qu'il recevait la pile quotidienne habituelle de catalogues de vente par correspondance, alors j'ai appelé arbitrairement le numéro 800 de See's Candies (par opposition à Victoria's Secret, ou Swiss Colony, ou tout autre gros expéditeur):

Moi: "Bonjour, je suis Joe X. Je pense que vous m'avez inscrit deux fois sur votre liste de diffusion, à la fois à mon ancienne adresse et à ma nouvelle adresse. Est-ce que votre ordinateur me montre à [ancienne adresse] ou à [fausse adresse] ? "

Opérateur: "Non, nous vous montrons à [nouvelle adresse]."

Donner 1 = 1 dans une zone de texte répertorie tous les utilisateurs du système.

En tant que consultant en sécurité des applications dans la vie, il y a beaucoup de problèmes communs qui vous permettent d'obtenir un administrateur sur un site Web via quelque chose. Mais la partie vraiment cool, c'est quand vous pouvez acheter pour un million de dollars de chaussettes.

C'était un ami à moi qui travaillait sur ce concert, mais l'essentiel était que les prix des articles dans une certaine boutique de livres en ligne (et tout le reste) maintenant très populaire étaient stockés dans le HTML lui-même en tant que champ caché. Au début, ce bogue a touché beaucoup de magasins en ligne, ils commençaient tout juste à comprendre le Web. Très peu de sensibilisation à la sécurité, je veux dire vraiment qui va télécharger le code HTML, modifier le champ caché et soumettre à nouveau la commande?

Naturellement, nous avons changé le prix à 0 et commandé 1 million de paires de chaussettes. Vous pouvez également changer le prix en négatif, mais cela a fait en sorte qu'une partie du dépassement de la mémoire tampon du logiciel de facturation du backend a mis fin à la transaction.

Si je pouvais en choisir un autre, ce serait des problèmes de canonisation de chemin dans les applications Web. C'est merveilleux de pouvoir faire foo.com?file=../../../../etc/passwd

Validation accidentelle du mot de passe root de la base de données dans le contrôle de code source. C'était assez mauvais, car c'était le contrôle de code source sur Sourceforge.

Inutile de dire que le mot de passe a été changé très rapidement.

Ne pas changer les mots de passe administrateur lorsque les principaux employés des TI quittent l'entreprise.

Bien que ce ne soit pas le pire trou de sécurité que j'aie jamais vu. Mais c'est au moins le pire que j'ai découvert moi-même:

Une boutique en ligne assez réussie pour les livres audio a utilisé un cookie pour stocker les informations d'identification de l'utilisateur actuel après une authentification réussie. Mais vous pouvez facilement changer l'ID utilisateur dans le cookie et accéder à d'autres comptes et acheter sur eux.

Dès le début de l'ère .com, je travaillais pour un grand détaillant à l'étranger. Nous avons regardé avec grand intérêt nos concurrents lancer une boutique en ligne des mois avant nous. Bien sûr, nous sommes allés l'essayer ... et nous nous sommes vite rendu compte que nos paniers se mélangeaient. Après avoir joué un peu avec la chaîne de requête, nous avons réalisé que nous pouvions nous pirater les sessions les uns des autres. Avec un bon timing, vous pouvez changer l'adresse de livraison mais laisser le mode de paiement seul ... tout cela après avoir rempli le panier avec vos articles préférés.

Lorsque j'ai rejoint l'entreprise dans laquelle je travaille actuellement, mon patron consultait le site Web de commerce électronique existant d'un nouveau client potentiel. C'était au tout début de l'IIS et du commerce électronique, et la sécurité était, disons, moins rigoureuse.

Pour abréger une longue histoire, il a modifié une URL (juste par curiosité), et s'est rendu compte que la navigation dans les répertoires n'était pas désactivée, vous pouvez donc couper le nom de la page à la fin de l'URL et voir tous les fichiers sur le serveur Web.

Nous avons fini par parcourir un dossier contenant une base de données Access, que nous avons téléchargée. Il s'agissait de l'intégralité de la base de données des clients / commandes de commerce électronique, remplie de plusieurs milliers de numéros de carte de crédit non cryptés.

Les gens qui affichent leurs mots de passe sur des sites Web publics ...

Quand j'avais 13 ans, mon école a ouvert un réseau social pour les élèves. Malheureusement pour eux, j'ai trouvé un bogue de sécurité où vous pouviez changer l'URI en un autre ID utilisateur comme "? UserID = 123" et vous connecter à cet utilisateur. Évidemment, j'en ai parlé à mes amis, et à la fin le réseau social de l'école était rempli de porno.

Je ne le recommanderais pas cependant.

Je pense que le champ vide du nom d'utilisateur / mot de passe pour l'accès superutilisateur est de loin le pire. Mais celui que je me suis vu était

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Dommage qu'un opérateur fasse une si grande différence.

Le mien serait pour une banque dont j'étais client. Je n'ai pas pu me connecter, j'ai donc appelé le service client. Ils m'ont demandé mon nom d'utilisateur et rien d'autre - n'ont pas posé de questions de sécurité ni essayé de vérifier mon identité. Puis, au lieu d'envoyer une réinitialisation du mot de passe à l'adresse e-mail qu'ils avaient dans le dossier, ils m'ont demandé à quelle adresse e-mail l'envoyer. Je leur ai donné une adresse différente de celle que j'avais dans le dossier et j'ai pu réinitialiser mon mot de passe.

Donc, essentiellement, tout pirate aurait besoin est mon nom d'utilisateur, et il pourrait alors accéder à mon compte. C'était pour une grande banque dont au moins 90% des Américains auraient entendu parler. Cela s'est produit il y a environ deux ans. Je ne sais pas s'il s'agissait d'un représentant du service client mal formé ou s'il s'agissait d'une procédure standard.

Je vais partager celui que j'ai créé. En quelque sorte.

Il y a des années et des années, la société pour laquelle je travaillais souhaitait une indexation sur leur site Web ASP. Alors je suis allé installer Index Server, exclu quelques répertoires d'administration et tout allait bien.

Cependant, à ma connaissance, quelqu'un avait donné à un vendeur un accès ftp au serveur Web pour qu'il puisse travailler à domicile, c'était l'époque des commutateurs et c'était le moyen le plus simple pour lui d'échanger des fichiers ... et il a commencé à télécharger des choses, y compris des documents détaillant le balisage sur nos services .... qui indexent le serveur indexé et commencent à servir lorsque les gens recherchent "Coûts".

N'oubliez pas les enfants, les listes blanches et non les listes noires.

L'un des plus simples, mais vraiment rentables est:

Systèmes de paiement utilisant des moteurs tels que PayPal peuvent être défectueux car la réponse de PayPal après le paiement a réussi n'est pas vérifiée comme il se doit.

Par exemple:

Je peux aller sur un site Web d'achat de CD et ajouter du contenu au panier, puis pendant les étapes de paiement, il y a généralement un formulaire sur la page qui a été rempli avec des champs pour paypal et un bouton de soumission pour "Payer".

En utilisant un éditeur DOM, je peux entrer dans le formulaire "live" et changer la valeur de £899.00à£0.01 puis cliquer sur soumettre ...

Lorsque je suis du côté de PayPal, je peux voir que le montant est de 1 centime, donc je le paie et PayPal redirige certains paramètres vers le site d'achat initial, qui ne valide que les paramètres tels que payment_status=1 , etc., etc. et ne le fait pas. valider le montant payé.

Cela peut être coûteux s'ils n'ont pas suffisamment de journalisation en place ou si les produits sont automatiquement expédiés.

Les pires types de sites sont les sites qui fournissent des applications, des logiciels, de la musique, etc.

Que diriez-vous d'un gestionnaire de documents en ligne, qui a permis de définir toutes les autorisations de sécurité dont vous vous souvenez ...

C'est jusqu'à ce que vous arriviez à la page de téléchargement ... download.aspx? DocumentId = 12345

Oui, le documentId était l'ID de la base de données (incrémentation automatique) et vous pouviez boucler chaque numéro et n'importe qui pouvait obtenir tous les documents de l'entreprise.

Lorsqu'il a été alerté de ce problème, la réponse du chef de projet a été: OK, merci. Mais personne ne l'a remarqué auparavant, alors gardons-le tel quel.

Une livraison de pizza norvégienne avait un trou de sécurité où vous pouviez commander des quantités négatives de pizzas sur leur nouveau portail Internet brillant et les obtenir gratuitement.